设置登录会话的限制
通过要求帐户用户按定制的时间间隔输入其登录凭证,提高帐户的安全性。 作为帐户所有者或为身份服务分配管理员角色的用户,您可以选择用户的活动会话可以持续的时间,然后他们需要再次输入其凭证。 您还可以选择用户在从其会话中签出之前处于不活动状态的持续时间,并且需要再次输入其凭证。
要查看并结束活动会话以帮助维护帐户的安全性,请参阅 监视登录会话。
如果登录会话的限制由企业管理,则如果企业管理设置不那么严格或被删除,则在账户级定义的设置将适用。
准备工作
如果拥有以下权限,则可以更新登录会话的设置:
- 帐户所有者
- 所有帐户管理服务上的编辑者或管理员角色
- IAM 身份服务上的编辑者或管理员角色
如果用户是多个帐户的成员,那么每个设置的最小值将应用于其会话。 例如,假设用户是两个帐户的成员: dev account 和 test account。 如果 dev account 具有 15 分钟的不活动超时,而 test account 具有 30 分钟的不活动超时,那么会将 15 分钟的不活动超时应用于这两个帐户。
在使用 Terraform 设置登录会话限制之前,请确保已完成以下操作:
- 安装 Terraform CLI 并为 Terraform 配置 IBM Cloud 提供程序插件。 有关更多信息,请参阅 Terraform on IBM Cloud®入门 教程。 该插件对用于完成此任务的 IBM Cloud API 进行抽象。
- 创建名为
main.tf的 Terraform 配置文件。 在此文件中,您使用 HashiCorp 配置语言来定义资源。 有关更多信息,请参阅 Terraform 文档。
设置活动会话的持续时间
活动会话是指用户在其帐户中持续工作的时间长度。 如何测量活动会话还取决于由于不活动限制而注销会话的持续时间。 例如,如果将注销设置为 2 小时,那么用户需要在这些 2 小时之间与帐户交互一次。
要更新用户的活动会话设置,请完成以下步骤:
- 在 IBM Cloud 控制台中,单击 管理 > 访问权 (IAM),然后选择 设置。
- 在“登录会话”部分中,单击“活动会话”磁贴中的 编辑 图标
。 - 输入时间限制。 会话可以持续的最长时间为 720 小时。
- 单击保存。
使用 Terraform 设置活动会话的持续时间
活动会话是指用户在其帐户中持续工作的时间长度。 如何测量活动会话还取决于由于不活动限制而注销会话的持续时间。 例如,如果将注销设置为 2 小时,那么用户需要在这些 2 小时之间与帐户交互一次。
要使用 Terraform 更新用户的活动会话设置,请完成以下步骤:
-
在
main.tf文件中创建自变量。 以下示例通过使用ibm_iam_account_settings和iam_account_settings_instance资源来设置活动会话的持续时间。 -
输入您希望会话因不活动而失效的时间段 (以秒计)。 受支持的有效值为
- 900 到 7200 之间的任何整数。
- 使用
NOT_SET来取消设置帐户设置并使用服务缺省值。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { session_invalidation_in_seconds = "7200" } -
从
main.tf文件供应资源。 有关更多信息,请参阅 使用 Terraform 供应基础架构。-
运行
terraform plan以生成 Terraform 执行计划来预览建议的操作。terraform plan -
运行
terraform apply以创建计划中定义的资源。terraform apply
-
有关更多信息,请参阅 Terraform 文档。
设置可信概要文件的会话持续时间
有关更多信息,请参阅 更新可信概要文件。
由于不活动持续时间而设置注销
不活动会话是指用户尚未完成在所选持续时间内发送用于验证的令牌的任何请求。 如果由于不活动持续时间而注销的时间为 1 小时,那么如果用户在该时间内未在其帐户中执行任何操作,那么将在一小时后注销该用户。 要由于不活动设置而更新用户的注销,请完成以下步骤。
- 在 IBM Cloud 控制台中,单击 管理 > 访问权 (IAM),然后选择 设置。
- 从“登录会话”部分中,单击“注销”中的 编辑 图标 (由于不活动磁贴)。
- 输入时间限制。 不活动会话可以持续的最长时间为 24 小时。
- 单击保存。
使用 Terraform 设置由于不活动持续时间而导致的注销
不活动会话是指用户尚未完成在所选持续时间内发送用于验证的令牌的任何请求。 如果由于不活动持续时间而注销的时间为 1 小时,那么如果用户在该时间内未在其帐户中执行任何操作,那么将在一小时后注销该用户。 要由于不活动设置而更新用户的注销,请完成以下步骤。
要使用 Terraform 更新由于不活动持续时间而导致的用户注销,请完成以下步骤:
-
在
main.tf文件中创建自变量。 以下示例使用ibm_iam_account_settings和iam_account_settings_instance资源来设置不活动注销。 -
输入您希望会话因不活动而失效的时间段 (以秒计)。 受支持的有效值为
- 900 到 7200 之间的任何整数。
- 使用
NOT_SET来取消设置帐户设置并使用服务缺省值。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { session_expiration_in_seconds = "3600" } -
从
main.tf文件供应资源。 有关更多信息,请参阅 使用 Terraform 供应基础架构。-
运行
terraform plan以生成 Terraform 执行计划来预览建议的操作。terraform plan -
运行
terraform apply以创建计划中定义的资源。terraform apply
-
有关更多信息,请参阅 Terraform 文档。
设置允许的并发会话数
您可以选择帐户用户允许的最大并发会话数。 并发会话是用户一次登录到的活动会话。 用户可以使用不同的浏览器打开多个会话,也可以使用 IBM Cloud CLI 进行多次登录。 多个并发会话更有利于并行工作负载。
- 在 IBM Cloud 控制台中,单击 管理 > 访问权 (IAM),然后选择 设置。
- 从“并行会话”磁贴中,单击 编辑 图标 ,单击“无限”下拉列表> 限制会话。
- 输入限制。 用户可以拥有无限数量的并发会话。
- 单击保存。
使用 Terraform 设置允许的并发会话数
您可以选择帐户用户允许的最大并发会话数。 并发会话是用户一次登录到的活动会话。 用户可以使用不同的浏览器打开多个会话,也可以使用 IBM Cloud CLI 进行多次登录。 多个并发会话更有利于并行工作负载。
要使用 terraform 更新用户允许的并发会话数,请完成以下步骤:
-
在
main.tf文件中创建自变量。 以下示例通过使用ibm_iam_account_settings和iam_account_settings_instance资源来设置允许的并发会话数。 -
输入您希望会话因不活动而失效的时间段 (以秒计)。 受支持的有效值为
- 任何大于 "0" 的整数。
- 使用
NOT_SET来取消设置帐户设置并使用服务缺省值。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { max_sessions_per_identity = "3" } -
从
main.tf文件供应资源。 有关更多信息,请参阅 使用 Terraform 供应基础架构。-
运行
terraform plan以生成 Terraform 执行计划来预览建议的操作。terraform plan -
运行
terraform apply以创建计划中定义的资源。terraform apply
-
有关更多信息,请参阅 Terraform 文档。
确定何时创建会话
仅当存在已连接的登录会话时,登录会话设置才适用。 如果未创建登录会话,那么将应用 IAM 令牌限制。 使用下表来帮助您了解应用每个设置的时间。
当用户登录到 IBM Cloud® CLI 或 IBM Cloud® 控制台时,将创建会话。 例如,如果创建用户 API 密钥并将其用于 IBM Cloud® CLI,那么将生成登录会话。 但是,如果使用相同的 API 密钥为 API 调用创建令牌,例如 为用户或服务标识创建 IAM 访问令牌,那么这不会生成会话。
| 登录类型 | 会话 | 刷新令牌 |
|---|---|---|
| IBM Cloud® 控制台 |  |
|
| IBM Cloud® CLI | |
|
| API 调用 |
| 登录类型 | 会话 | 刷新令牌 |
|---|---|---|
| IBM Cloud® 控制台 | |
|
| IBM Cloud® CLI | |
|
| API 调用 |
| 登录类型 | 会话 | 刷新令牌 |
|---|---|---|
| IBM Cloud® 控制台 | 不适用 | 不适用 |
| IBM Cloud® CLI | |
|
| API 调用 |
